CVE-2026-4072 in WordPress PayPal Donation Plugininformation

Résumé

par VulDB • 21/05/2026

Le plugin WordPress PayPal Donation pour WordPress est vulnérable à un Cross-Site Scripting (XSS) stocké via le shortcode 'donate' dans toutes les versions jusqu'à la 1.01 incluse. Cela est dû à une désinfection insuffisante des entrées et à une échappement incorrect des sorties sur les attributs de shortcode fournis par l'utilisateur, tels que 'amount', 'email', 'title', 'return_url', 'cancel_url', 'ccode' et 'image'. La fonction wordpress_paypal_donation_create() utilise extract(shortcode_atts(...)) pour traiter les attributs de shortcode, puis interpole directement ces valeurs dans la sortie HTML au sein d'attributs entre guillemets simples, sans aucun échappement. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau 'Contributor' ou supérieur, d'injecter des scripts web arbitraires dans les pages, qui s'exécuteront chaque fois qu'un utilisateur accédera à une page injectée.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

12/03/2026

Divulgation

21/03/2026

Modérer

accepté

Entrée

VDB-352290

CPE

prêt

EPSS

0.00048

KEV

non

Activités

très faible

Secteur

Agriculture, Hostingprovider, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4072
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4072
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4072/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!